Управление сетевым доступом к Gemini Code Assist с ограничениями домена пользователя

В этом документе содержатся инструкции для сетевых администраторов по настройке сетей для ограничения доступа к Gemini Code Assist на основе доменов пользователей. Эта функция позволяет организациям контролировать, какие пользователи в их сети могут использовать Gemini Code Assist, повышая безопасность и предотвращая несанкционированный доступ.

Обзор

Вы можете настроить Gemini Code Assist для применения ограничений по доменам пользователей с помощью пользовательского HTTP-заголовка X-GeminiCodeAssist-Allowed-Domains . Этот заголовок указывает список разрешенных доменов, и бэкэнд Gemini Code Assist обрабатывает только запросы от пользователей, чей аутентифицированный домен совпадает с одним из разрешенных доменов.

Вы можете использовать подход с прокси-сервером типа "человек посередине" (PITM), чтобы вставить этот заголовок в запросы к Gemini Code Assist, исходящие из вашей сети.

Настройте прокси в вашей IDE.

Чтобы настроить прокси-сервер в вашей IDE, выполните следующие действия:

VS Code

  1. Перейдите в меню Файл > Настройки (для Windows) или Code > Настройки > Настройки (для macOS).

  2. На вкладке «Пользователь» перейдите в раздел «Приложение» > «Прокси» .

  3. В поле «Прокси» введите адрес вашего прокси-сервера. Например, http://localhost:3128 .

  4. Необязательно: чтобы настроить Gemini Code Assist на игнорирование ошибок сертификатов, в разделе «Строгое SSL-проксирование» установите или снимите флажок. Этот параметр применяется ко всем профилям.

ИнтеллиДж

  1. Перейдите в меню Файл > Настройки (для Windows) или IntelliJ IDEA > Настройки (для macOS).

  2. Перейдите в раздел «Внешний вид и поведение» > «Системные настройки» > «HTTP-прокси» .

  3. Выберите «Ручная настройка прокси» , а затем выберите HTTP .

  4. В поле «Имя хоста» введите имя хоста вашего прокси-сервера.

  5. В поле «Номер порта» введите номер порта вашего прокси-сервера.

  6. Дополнительно: Чтобы настроить Gemini Code Assist на игнорирование ошибок сертификатов, в боковой панели щелкните Инструменты > Сертификаты сервера , а затем выберите или снимите флажок «Принимать недоверенные сертификаты автоматически» .

Настройте прокси PITM.

Для настройки прокси-сервера PITM выполните следующие действия:

  1. Убедитесь, что ваша сеть использует прокси-сервер PITM, способный перехватывать и изменять HTTPS-трафик.

  2. Настройте прокси-сервер для перехвата всех исходящих запросов к конечной точке Gemini Code Assist ( https://cloudcode-pa.googleapis.com ). Не используйте подстановочные знаки ( * ) при указании конечной точки Gemini Code Assist.

  3. Настройте прокси-сервер таким образом, чтобы он добавлял заголовок X-GeminiCodeAssist-Allowed-Domains в каждый запрос. Заголовок должен содержать список разрешенных доменов, разделенных запятыми (например, example.com , yourcompany.net ). Убедитесь, что имена доменов разделены запятыми и не содержат символа @ .

    Если заголовки не преобразуются хотя бы в один допустимый домен, ограничения применяться не будут. Например, пустой заголовок не будет иметь никаких ограничений. domain не будет иметь никаких ограничений, поскольку он не является допустимым доменным именем.

Когда пользователь пытается получить доступ к Gemini Code Assist с домена, не включенного в список заголовков, он видит сообщение о том, что администратор запретил ему использовать Gemini Code Assist на своем домене.

Перехват SSL/TLS

Если вашему прокси-серверу необходимо расшифровать HTTPS-трафик для внедрения заголовка, убедитесь, что он настроен на перехват SSL/TLS. Обычно это включает в себя:

  • Генерация сертификата для прокси-сервера.

  • Установка сертификата прокси-сервера на устройства пользователей для установления доверия и предотвращения ошибок сертификата.

Проверка заголовка

  • Gemini Code Assist автоматически проверяет заголовок X-GeminiCodeAssist-Allowed-Domains и обеспечивает соблюдение ограничений.

  • Если заголовок не указывает хотя бы на один допустимый домен, проверка выполняться не будет.

  • Если домен, связанный с аутентификацией пользователя, отсутствует в списке разрешенных, запрос отклоняется. Например, если пользователь входит в систему с помощью учетной записи Gmail, и в списке разрешенных доменов есть только example.com, запрос отклоняется.

Что дальше?

Чтобы узнать больше о блокировке доступа к учетным записям пользователей, см. раздел «Блокировка доступа к учетным записям пользователей» .